公开了一种在通信网络(100)中处理传入分组的方法和电子设备(104)。该方法包括通过使用最近恶意者列表(212)来实时地过滤传入分组(302)。该方法还包括非实时地将传入分组分类(304)为恶意分组和非恶意分组。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术通常涉及通信网络,并且更具体地涉及在通信网络中过滤 分组的方法和系统。
技术介绍
最近,通信网络,例如蜂窝无线电接入网,已经广泛地发展起来。 连接至通信网络的电子设备,例如移动电话,通过例如发送和接收分 组来相互通信。分组包括例如对应于通信网络中的分组的源的源地址 和对应于网络中分组目的地的目的地址。通信网络容易受到诸如IP地址扫描之类的问题的攻击,IP地址扫 描对通信网络及其用户具有不利的影响。在IP地址扫描期间,电子设 备可以在通信网络中发送多个分组,以扫描其它电子设备的地址。由 电子设备发出的、用于扫描其它电子设备地址的分组称为恶意分组(offending packet)。 一旦通过IP地址扫描过程验证了电子设备的地址, 则该电子设备就会被各种装置以非法的目的进行访问。因此,需要在 通信网络中阻止恶意分组。在地址扫描期间,通信网络流量可能会突然增加。由于需要处理 大量的恶意分组,因此这有害地影响通信网络的性能。另外,地址扫 描破坏通信网络中的电子设备的安全。有多种可用的方法来阻止通信网络中的恶意分组。在一个这样的 方法中,防火墙识别并阻止恶意分组。常规防火墙采用复杂的技术; 因此需要大量的处理功率和时间。因此,这些防火墙不能有效地应用 于嵌入式环境,例如蜂窝网络,在嵌入式环境中只有较少的处理功率和处理时间是可用的。 附图说明本专利技术的代表性元件、操作特征、应用和/或优势在于以下参考附 图更完全描绘、描述和要求保护的构造和操作的细节中,附图形成其 一部分,其中,在整个说明书中,相同附图标记表示相同部分。根据 详细描述的特定示例性实施例,其他元件、操作特征、应用和/或优点 将变得明显,在附图中图1代表性地示出了通信网络的结构图,在该通信网络中可以实 施本专利技术的各个实施例。图2代表性地示出了根据本专利技术示例性实施例的防火墙系统的框图。图3代表性地示出了根据本专利技术第一示范性实施例、对处理传入 分组的方法进行描述的流程图。图4代表性地示出了根据本专利技术第二示范性实施例、对处理传入 分组的方法进行描述的流程图。图5代表性地示出了根据本专利技术示范性实施例、对用于过滤传入分组的方法进行描述的流程图。图6和7代表性地示出了根据本专利技术示范性实施例、对用于分类 传入分组的方法进行描述的流程图。图8代表性地示出了根据本专利技术各个实施例的传入分组的分类。附图中的元件是为了简单和清楚而示出的,且没有必要按比例绘 制。例如,可以相对其他元件对图中一些元件的尺寸进行夸大,从而 帮助改善对本专利技术各个实施例的理解。另外,此处的术语"第一"、"第 二"等,如果使用了的话,是用于在相似的元件之间进行区分,并且不 是必须描述连续或时间顺序。这样使用的任何前述术语都可以在特定 的环境下互换,这样,在此描述的本专利技术的各实施例能够操作在与那 些明确示出或描述的配置和/或方位不同的其他配置和/或方位中。具体实施例方式本专利技术的以下代表性描述通常涉及示例性实施例和专利技术人最佳模 式的概念,而不是以任何形式意图限制本专利技术的应用或配置。更确切 地,以下描述旨在提供完成本专利技术各实施例的便利的描述。明显的是, 在不偏离本专利技术的精神和范围的前提下,可以对所公开的示范性实施 例中所描述的任何元件的功能和/或排列作出改变。示例性应用的详细描述,即"Method and System for Processing Incoming Packets in a Communication Network,,被提供作为特定公开,该 特定公开可以被推广到根据本专利技术各个实施例用于处理传入分组的所 公开系统、方法和设备的任何应用。本专利技术的各个实施例提供在通信网络中处理传入分组的方法和防 火墙系统。每个传入分组都与源地址和目的地址相关联。该方法包括步骤使用最近恶意者列表实时地过滤传入分组,以及非实时地将传 入分组分类成恶意分组和非恶意分组。防火墙系统包括处理器和存储 单元。存储单元可以操作地耦合至处理器。处理器能够实时地从传入 分组中过滤恶意分组,并且非实时地将传入分组分类成恶意分组或非 恶意分组。图1代表性地示出了通信网络100的结构图,在该通信网络100 中可以实施本专利技术的各实施例。通信网络100包括多个电子设备,例 如电子设备102、电子设备104、电子设备106和电子设备108。通信 网络100的例子包括但不限于局域网(LAN)、城域网(MAN)、广 域网(WAN)、因特网、移动通信网、蜂窝无线电接入网和蜂窝核心 网。在一个实施例中,通信网络100包括相互连接的多个这样的通信 网络。例如,当移动电话的用户通过移动电话访问因特网时,移动通 信网和因特网可以形成通信网络100。电子设备102、 104、 106和108 的例子包括但不限于个人电脑(PC)、移动电话、膝上电脑、网络路 由器和网络服务器。在一个实施例中,电子设备可以是向其它电子设备(例如用户设备) 提供服务的网络电子设备。网络电子设备可以包括网络路由器、网络服务器、无线电接入网(RAN)功能、网关功能、分组控制功能等。 同样,在一个实施例中,网络服务功能可以耦合在电子设备102、 104、 106和108与网络之间。在一个实施例中,电子设备可以包括被耦合以 从网络设备接收服务的用户设备。用户设备可以包括PC、蜂窝电话、 个人数字助理(PDA)、用于PC的无线接口、用于PDA的无线接口 等。通信网络100中的电子设备102、 104、 106和108发送和接收分 组,以相互通信。例如,电子设备102可以向电子设备106发送分组。 分组包括,例如,源地址和目的地址。在本例中,源地址包括电子设 备102的地址,而目的地址包括电子设备106的地址。在本专利技术的一 个实施例中,电子设备(例如电子设备102)可以向多个目的地发送分 组。对于许多网络环境,特别是无线电接入网,没有设备会在单个给 定时间期间内向大量目的地发送分组,除了公知的一些设备,例如, 诸如支持网络多播或短信服务的应用服务器。由于环境的这种特性, 当与电子设备102的源地址相关联的目的地的数量超过预定义阈值时, 可以将分组归类为恶意分组。该预定义阈值是在已知时间间隔中能够 由电子设备发送的分组的最大允许数量。在本实施例中,将电子设备 102所发送的超过预定义阈值的分组识别为恶意分组。图2代表性地示出了根据本专利技术示范性实施例的防火墙系统200 的框图。防火墙系统200包括存储单元202和处理器204。处理器204 操作地与存储单元202耦合。存储单元202包括背景报头处理队列206、 已知良好多关联列表208、最近历史列表210和最近恶意者列表212。 背景报头处理队列206包括用于对传入分组进行分类的传入分组的源 地址和目的地址。已知良好多关联列表208包括良好的非恶意电子设 备的源地址,所述电子设备(例如在蜂窝核心网中的一键通服务器)被允许以正当理由在通信网络100中发送超过预定义阈值的多个分组。最近历史列表210包括最近传入分组的源地址以及与所述源地址相关 联的相应目的地址。最近恶意者列表212包括最近被识别为恶意分组 的分组的源地址。处理器204根据从背景报头处理队列206、已知良好 多关联列表208、最近历史列表210和最近恶意者列表2本文档来自技高网...
【技术保护点】
一种用于在通信网络中处理传入分组的方法,每个分组都具有源地址和目的地址,该方法包括: 使用最近恶意者列表,实时地过滤所述传入分组;和 非实时地将所述传入分组分类成恶意分组和非恶意分组。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:卡尔E米勒,
申请(专利权)人:摩托罗拉公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。